安全研究人员警告,Windows系统中默认启用的IPv6协议存在“休眠功能漏洞”,可能成为攻击者的后门。若企业未实际使用IPv6且未进行安全配置,该漏洞可导致整个域环境完全沦陷。
尽管IPv6尚未广泛部署,但Windows系统默认启用该协议且优先级高于旧版IPv4,这一特性引发严重安全隐患。网络安全公司Resecurity指出:攻击者只需控制网络中的任意设备(包括IoT设备),即可将其伪装成虚假配置服务器和DNS服务器。Windows计算机会优先信任这些恶意指令,覆盖现有IPv4配置。
研究人员披露:攻击者可通过此漏洞劫持计算机连接,实现重定向用户至恶意网站、窃取凭证,最终控制整个网络。此前,DNS劫持技术已被VK9 Security等安全机构详细分析。
攻击链:从初始入侵到完全控制
Resecurity在报告中描述攻击者实现域环境完全沦陷的步骤(攻击过程仅需数分钟):
- 伪造DHCPv6服务器:攻击者利用开源渗透工具mitm6(可在GitHub获取),将任意设备(包括低性能Linux物联网设备)转变为恶意IPv6配置服务器。
- DNS劫持与控制:劫持DNS后,攻击者可将用户重定向至钓鱼网站,同时定位域控制器并截获用户访问网络资源时的登录凭证。
- 权限升级与域控接管:攻击者向域控制器中继窃取的凭证(NTLM认证信息),冒充特权用户创建恶意账户,最终获得在活动目录中执行任意命令的权限。
(图片由Resecurity提供)
技术本质与防御建议
该技术被命名为MITM6 + NTLM中继攻击,结合中间人劫持与权限提升手法。Resecurity强调:“此攻击是教科书级案例,展示微小配置疏忽如何引发活动目录的全面沦陷。”
关键缓解措施:
- 禁用未使用的IPv6:在未部署IPv6的环境中彻底关闭该协议,从源头消除攻击面。
- 部署网络层防护:在交换机和路由器启用RA Guard/DHCPv6 Guard功能,拦截非法IPv6通告及恶意DHCP服务器。
- 强化活动目录配置:设置
ms-DS-MachineAccountQuota=0阻止非法创建计算机账户;强制启用SMB/LDAP签名防止中继攻击。 - 持续监控异常:检测非常规IPv6流量、异常网关变更及未经授权的DNS服务器更新。
消息来源: cybernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
© 版权声明
文章版权归原作者所有,转摘请注明出处。文章内容仅代表作者独立观点,不代表安全壹壹肆&安全114的立场,转载目的在于传递网络空间安全讯息。部分素材来源于网络,如有侵权请联系首页管理员删除。
THE END
暂无评论内容